Blog

Firmen-Fingerprint anhand einer Stellenanzeige (Update)

Viele Unternehmen schreiben sehr viele Informationen in Ihre Stellenausschreibungen. Das hat natürlich einen ganz simplen Grund: Sie wollen Leute, die mit der bereits eingesetzten Technik umgehen können. Das erspart zusätzliche Schulungen, Zertifizierungen und Einweisungen. Einige Firmen schreiben viele Informationen in Stellenanzeigen, weil sie es nicht besser wissen.

Doch aus Stellenausschreibungen kann ein Angreifer eine Menge Informationen ziehen. Mann darf nicht vergessen, dass ein guter Hacker nur ein einziges Gerät übernehmen muss, um ein ganzes Netz auszuspionieren. Zudem bieten sich Stellenbörsen auch an, um neben Hackingaktivitäten gezielt Spionage (Wirtschaft, Staat) vorzubereiten.

Ich habe mal eine Stellenanzeige von Lotto Hamburg gefunden. Hier die Auswahlseite, hier der Direktlink. (Alternative) Sie suchen aktuell einen Netzwerkmanager. Lotto ist ja ein Begriff, oder? Es geht bspw. um Geld und um persönliche Daten von Lottospielern. Durchaus alles schützenswert. Ich habe sie mal exemplarisch für viele ähnliche Anzeigen ausgewählt. Auch, weil sie sehr aktuell ist.

Durch die Anzeige auf die Ihr da klicken könnt, erfahrt Ihr folgende Informationen:

Aufgabenangebot an den Bewerber

1. Zitat: “Administration, Konfiguration, Optimierung und Weiterentwicklung der Netzwerkinfrastruktur (LAN/WAN, VPN, POS Netz)”

Hier kann man die Person einstufen. Sie wird möglicherweise in Zukunft interessant sein, wenn es um die Anschaffung neuer Technik und Software geht. Hier könnten nicht nur Hacker, sondern auch Firmen, die entsprechendes Know How verkaufen, wissen wollen, wer das mal sein wird. Sei es, um die Person mit Angeboten zu nerven, oder sie zu schmieren, vielleicht über sie etwas herauszufinden, um die Person unter Druck zu setzen.

2. Zitat: “Betreuung von Routern, Swit­ches und Firewall-Sys­temen im Hochverfüg­bar­keits­umfeld.”

Auch hier kann man die Stelle gut einschätzen. Die Person wird nicht nur weiterentwickeln, sondern auch betreuen. Wenn die Person bestechlich ist, oder unter Druck gesetzt werden kann, wäre sie direkt an der Quelle.

3. Zitat: “Gewährleistung der IT-Sicher­heit nach BSI-IT- Grundschutz.”

Es wird noch schlimmer. Wenn die Person sich gut auskennt, kann sie nach IT-Grundschutz Sicherheitsmaßnahmen definieren, die die Arbeit für einen Angreifer oder die Konkurrenz erleichtert. Klingt jetzt banal, aber wenn eine Meldung der Firewalls, dass ein DDoS-Angriff stattfindet nirgends ankommt, weil die Meldung ignoriert werden soll, dann kann ein beträchtlicher Schaden angerichtet werden.

4. Zitat: “Monitoring und Trouble­shoo­ting in heterogenen Netz­werken von WLAN, LAN sowie Remote-Access-Lösungen.”

Es wird erneut schlimmer. Sollte ein Angreifer in das Netz eindringen, ist diese Person sein bester Verbündeter. Wer nichts sehen will (oder darf), der sieht auch nichts. Zusätzlich erhalten wir die Information, dass Lotto Hamburg WLAN einsetzt und Remoteverbindungen verwendet. LAN ist sicher klar, aber setzt kabelgebundene Verbindungsmöglichkeiten voraus. WLAN kann man angreifen, mindestens aber stören. Remoteverbindungen, wenn man erstmal drin ist, und die Verbindungen laufen bspw. nicht verschlüsselt ab, bieten Angriffsfläche. Schwachstellenanalyse und Angriffsszenarien können vorbereitet werden.

5. Zitat: “Betreuung einer Rechen­zentrums­infrastruktur”

Wie bereits gesagt ein guter Verbündeter.

6. Zitat: “Betrieb der Storage-Um­ge­bungen und der E-Mail- und Websysteme.”

Irgendwie das perfekte Ziel für Bösewichte, Konkurrenten, Firmen oder Spionageaktivitäten. Dieser Netzwerkmanager soll tatsächlich überall seine Finger im Spiel haben. Geht gar nicht!

7. Zitat: “Verwaltung und Ausbau der VMware-VSphere-Umgebung.”

Hier ein weiterer Hinweis auf eingesetzte Techniken/Software. Schwachstellenanalyse und Angriffsszenarien können vorbereitet werden.

Profil des Bewerbers

8. Zitat: “Erfahrung in der Betreuung von Netzwerken (LAN/WAN) inklu­sive VPN-Lösungen”

Auch hier ein Hinweis: Es wird VPN genutzt. Kann also auf externe Zweigstellen oder externes Personal hinweisen. Auch hier bieten sich somit weitere Angriffsmöglichkeiten.

9. Zitat: “Kenntnisse von Switches (Cisco, HP) und Fire­walls (Nextgen Firewall, Juniper Netscreen, Cisco ASA) mit Schwerpunkt Hoch­verfüg­bar­keits­lösungen.”

Hier ist dann das größte Informationsleck. Der Angreifer, Spion, die Konkurrenz oder einfach nur Firmen, die Geld verdienen wollen, wissen jetzt welche Hardware eingesetzt wird. Ein Händler kann somit gezielt Werbung an die Lotto-Firma senden. Ein bisschen Preise runter und man ist günstiger als eine mögliche Konkurrenz. Ins Blaue schießen, kann erfolgreich sein! Ein Angreifer, der das Netzwerk übernehmen will, kann sich jetzt auf die Schwachstellen der genannten Gerätehersteller stürzen. Er weiß bei Switchen ist es HP oder CISCO. Andere Hersteller brauchen nicht nach aktuellen Lücken geprüft werden (D-Link, Netgear, bspw.). Auch die Firewalltypen bieten genug Information, um die Probleme oder Lücken zu analysieren, die der Angreifer lösen oder umgehen muss. Das beschleunigt die Angriffsvorbereitungen enorm.

10. Zitat: “Fundierte Kenntnisse in der Be­triebs­systemsoftware Linux/ Win­dows.”

Die Info nach Windows ist natürlich die wichtigste Info. Linux ist zu vielfältig und fällt erstmal raus. Es können also gezielt Angriffe auf Windows gefahren werden.

11. Zitate: “Kenntnisse der IT-Sicher­heits­konzepte nach BSI IT Grund­schutz” und “Erfahrung mit Skriptsprachen” und “Erfahrung im Bereich Moni­to­ring und Überwachung (Nagios)” und “Sehr gute Kenntnisse und Er­fahrung in der Planung und Kon­zeption von heterogenen und hochverfügbaren Netz­werken” und “Sehr gute Englischkenntnisse”

Auch das sind einige weiche Informationen. Im Zusammenhang mit den anderen Infos durchaus ausnutzbar. Bspw. für Social Engineering Angriffe.

12. Zitat: “Gute Kenntnisse im Bereich E-Mail- und Websysteme inklusive MS Exchange.”

Auch hier wieder ein Hinweis auf den Exchangeserver von Microsoft. Auch diese Information bietet Potential für eine Angriffsanalyse und einen Angriff.

 

Diese Stellenbeschreibung ist sicherheitspolitisch aus meiner Sicht eine Katastrophe. Ähnliche Stellenausschreibungen findet Ihr aber auch bei Banken, Sparkassen, Konzernen und selbst IT-Sicherheitsfirmen und natürlich auch Behörden. Die Firmen werden jedoch technisch und personell zum Glaskasten. Ein gezielter Angriff, um Spionage zu betreiben, ist hier möglich. Es ist möglich gezielt Wirtschaftsspionage vorzubereiten. Es ist möglich gezielt Systeme anzugreifen und auszuschalten. Und und und. Je nach Firma oder Behörde können mit so einem Informationsleck wahnsinnig tolle Angriffe gefahren werden.

Auch im Social Engineeringbereich sind großartige Szenarien denkbar. Wäre das hier eine Behörde oder Bank oder Konzern, könnte man gezielt einen eigenen Mann einschleusen. Die Person wäre eine Spitzenquelle. Warum? Nun, Lotto Hamburg macht den selben Fehler wie der Großteil deutscher Firmen. Sie wollen eine Person einstellen, die folgende Tätigkeiten erledigt:

1. Netzwerkplanung (Hardwareauswahl und Aufbau)

2. Systembetreuung (Webserver, E-Mail-Server)

3. Systemüberwachung (Systeme allgemein)

4. Sicherheitsplanung nach IT-Grundschutz (Konzepte und Strategien zur Abwehr und Vorbeugung)

5. Sicherheitsmonitoring (Firewalls, dazu gehört Regelaufstellung (Policies))

Zusammenfassung: Sollte ALLES können und machen was ansteht.

 

Das funktioniert aber nur in ganz ganz kleinem Rahmen (Arbeitsgebiet). Über Lotto Hamburg kann man sich hier informieren oder hier. Infos über Anzahl der Mitarbeiter (ca. 97) und Umsatz (über 100 Mio. Euro bis 150 Mio. Euro).

 

Lotto Hamburg will Gehaltsvorstellungen hören. Für Bewerber wäre es ratsam bei den geforderten Aufgaben und dem Profil nicht mit unter 10.000 € ranzugehen. Empfehlenswert: Netto! Warum? Weil die Person einfach ALLES tun muss und am Ende auch für ALLES verantwortlich ist. Hier spitze ich natürlich zu 😉 , aber sollte da nicht ein weit größeres Team hinterstehen, spiele ich woanders Lotto. Die Vielfältigkeit dessen was hier beschrieben ist, lässt leider nichts Gutes erahnen.

 

Firmen, die solche Stellen schaffen, haben mit Blick aus Richtung IT-Sicherheit NICHTS verstanden.

Wenn ich eine so umfangreiche IT-Landschaft nutze, es um Millionen Euro geht und ich viele wichtige schützenswerte Daten verwalte, dann habe ich einen IT-Sicherheitsbeauftragten in Vollzeit, der vorhandene Systeme analysiert, Dokumentationen einfordert und bewertet, Beschaffungsprozesse begutachtet, Fragen stellt und daraufhin angemessene Policies vorschlägt und mit seiner Arbeit die Geschäftsleitung berät und dazu zwingt seine Vorschläge als Arbeitsanweisung den anderen Abteilungen zur Umsetzung aufgibt. Anschließend überwacht der IT-Sicherheitsbeauftragte die Umsetzung und berät die Geschäftsleitung und Abteilungen weiter. Die Geschäftsleitung ist damit abgesichert, sollte in den unteren Ebenen irgendwas falsch laufen. Dann rollen weiter unten die Köpfe. Und wenn der Sicherheitsbeauftragte falsche Dinge vorgeschlagen hat, ist der Sicherheitsbeauftragte derjenige der den Kopf hinhalten muss.

Wenn ich Firewalls betreibe, dann habe ich Admins für Firewalls. Die übernehmen das Monitoring und setzen die Vorgaben für Policies und Notfallszenarien der Geschäftsleitung/IT-Sicherheitsbeauftragten um. Und diese Admins sind weder Sicherheitsbeauftragter noch für Software auf Servern und Clients zuständig.

Wenn ich Server (Web- und E-Mail-Server) betreibe, dann habe ich genau für diese Systeme Admins, die nichts anderes tun, als diese Systeme zu betreuen. Auch hier wieder nach Vorgaben der Geschäftsleitung und deren Berater. Diese Jungs sind keine Sicherheitsbeauftragten und keine Firewalladmins.

Zusätzlich habe ich Leute, die im Zusammenspiel mit den Admins Dokumentationen erledigen. Mit Systembetreuung und Monitoring im Sicherheitsbereich werden Admins genug zu tun haben. Sollten diese Zeit haben, können sie natürlich auch dokumentieren.

Nutzersupport nehme ich mal aus.

Eine ordentliche Personalpolitik im IT-Sicherheitsbereich kostet zwar Geld, aber ist heutzutage die beste Absicherung für Geschäftsleitungen aller Art.

 

Die hier ausgeschriebene Stelle wird unglücklich machen. Es ist zu viel Arbeit, zu viel Verantwortung und die Firma hat noch nicht einmal den Mut den Wert der Stelle selbst festzulegen. Sparzwang? Wenn die Person also irgendwann demotiviert ist und dazu noch schlecht bezahlt wird, hat sich die Geschäftsleitung die Schwachstelle selbst ins Haus geholt. Für Angreifer bieten sich weitere Informationen über Firmenbewertungsportale an, um einen weiteren kleinen Einblick zu erhalten.

 

Das war der Online-Kurs: Firmen-Fingerprinting anhand einer Stellenanzeige

 

Als Zugabe: Die Jungs sollten unbedingt Ihr SHA1-Zertifikat durch was Besseres ersetzen und ein paar neuere Protokolle ins Auge fassen.

lottohhsha1

 

 

Update: Ich würde eine solche Stellenausschreibung nicht verteidigen. Aber einige Punkte würde ich mindestens komplett anders formulieren. Nur diese Punkte greife ich auf, um diese “information vulnerability” etwas zu verringern.

Vorab: Das sind mindestens drei Stellen: IT-Sicherheitsbeauftragter, Netzwerkadministrator, Serveradministrator. Dem IT-Sicherheitsbeaufragten verpasse ich ein Gehalt mit der aus dem Beamtenbereich existierenden Besoldungsgruppe A14 ,mindestens, besser mehr, da er einfach ALLES wissen kann! Dem Netzwerkadministrator eine A13 und dem Serveradministrator eine A11. Alle haben bei mir ein Kind und sind verheiratet, haben auch entsprechend Erfahrung. So kommen die Nettolöhne raus. Vergleichbare Angestelltenlöhne wären im Brutto natürlich beträchtlich höher. Bei mir zählt jetzt erstmal nur das Netto.

Zu den Formulierungen:

Punkt 1: Ich würde, Zitat: “(LAN/WAN, VPN, POS Netz)” weglassen. Der allgemeine Inhalt davor reicht aus. Einem Automechatroniker erzählt man ja auch nicht, dass er für Autos zuständig ist.

Punkt 4: Zitat: “von WLAN, LAN sowie Remote-Access-Lösungen” würde ich ebenfalls weglassen. “Heterogene Netzwerke” reicht aus.

Punkt 7: Einfach nur: “Erfahrung mit gängigen Virtualisierungstechnologien.” Warum? Das Produktfeld ist überschaubar. Wer damit schon arbeitet, hat in der Regel auch Umgang mit allen Technologien gehabt.

Punkt 8: Auch hier weglassen, Zitat: “(LAN/WAN) inklu­sive VPN-Lösungen”. Das ist überflüssig. Gehört zum Standard.

Punkt 9: Hier unbedingt produktneutrale Beschreibung wählen. Die Switch-Hersteller weglassen. Einfach den Typ (Bspw. Layer 2 oder Layer 3 etc.), die Hochverfügbarkeit vielleicht noch einbringen.

Punkt 10: Auch hier würde ich einfach nur schreiben: “Erfahrung mit gängigen/aktuellen Desktop-Betriebssystemen.” Um einen Angreifer im Unklaren zu lassen, anfügen: “u.a. Linux”. (Den Punkt könnte ich aber noch diskutieren!)

Punkt 11: Abspecken! Die BSI-Geschichte steht bereits weiter vorne. Warum Mitarbeiter, die eigentlich die Arbeit eines Sicherheitsbeauftragten übernehmen immer Scriptsprachen beherrschen müssen, hat sich mir noch nie erschlossen. Fordern viele Firmen! Die machen sowas aber nicht. Serveradmins ja. Liegt hier an der beschriebenen Stelle. Auch die Planungsgeschichte ist doppeltgemoppelt. Das Englisch sollte in diesem Bereich wohl eher nicht mehr extra gefordert werden Also nicht bei Netzwerkadmins oder Serveradmins. Wieder Stellenproblem.

Punkt 12: Auch hier kann man allgemein bleiben und Kenntnisse im Webserver-, Fileserver- und E-Mail-Serverbereich einfordern.

Nachbemerkung: Wer in diesem Bereich bereits gearbeitet hat oder gerade ausgelernt hat, wird mit allen Betriebssystemen und allgemeinen Abläufen vertraut sein. Bei guter Personalpolitik sollte die Firma auch Interesse haben das eigene Personal umfangreich zu schulen. Es ist schon seit Jahren kontraproduktiv immer den fertig ausgebildeten und auf die eigene Firma spezialisierten Macker zu bekommen, der dazu noch günstig ist. Gute Leute wachsen mit ihren Aufgaben und scheuen auch das Unbekannte nicht.

Ich hoffe der Nachtrag hat meine Sicht der Dinge unterstrichen.

Tagged , , , , , , , , , ,